diff --git a/plan.md b/plan.md
index f571157..d5a5b10 100644
--- a/plan.md
+++ b/plan.md
@@ -1,44 +1,69 @@
-# Plan — 调试 "Undefined array key 'id'" PHP 错误
+# Plan — 调研「场馆删除后编辑商品出现规格重复错误」问题
 
-> 版本：v1.2 | 日期：2026-04-20 | Agent：council/BackendArchitect + council/DebugAgent（并行协作）
-> 关联提交：bbea35d83（feat: 保存时自动填充 template_snapshot）
+> 版本：v1.2 | 日期：2026-04-20 | Agent：council/FrontendDev + council/SecurityEngineer + council/BackendArchitect
 
 ---
 
 ## 任务概述
 
-调试 ShopXO 后台编辑票务商品（goods_id=118）保存时报错：
-```
-Undefined array key "id"
-```
+当票务商品关联的场馆模板被硬删除后，编辑商品时出现「规格不允许重复」错误。
 
-根因代码位于 `bbea35d83` 新增的 `AdminGoodsSaveHandle.php` save_thing_end 时机。
+**根因调查分工**：
+- FrontendDev：前端规格项构建与 fallback 行为
+- BackendArchitect：后端规格去重逻辑、`spec_base_id_map` 解析
+- SecurityEngineer：安全风险评估（P1 vs P2）
 
 ---
 
-## 任务清单
+## FrontendDev 任务清单
 
-- [x] [Done: council/BackendArchitect] **Task 1**: 根因定位 — 逐行分析所有 "id" 访问位置
-- [x] [Done: council/BackendArchitect] **Task 2**: Db::name() 表前缀问题 — ShopXO 插件表前缀行为确认
-- [x] [Done: council/BackendArchitect] **Task 3**: 根因 1 — `$r['id']` 空安全（AdminGoodsSaveHandle 第 77 行）
-- [x] [Done: council/BackendArchitect] **Task 4**: 根因 2 — `find()` 返回 null 的空安全（AdminGoodsSaveHandle 第 71 行）
-- [x] [Done: council/BackendArchitect] **Task 5**: 根因 3 — `$config['template_id']` / `selected_rooms` 数据类型问题
-- [x] [Done: council/BackendArchitect] **Task 6**: SeatSkuService::BatchGenerate 类似问题审计
-- [x] [Done: council/BackendArchitect] **Task 7**: 修复方案汇总 + 建议修复优先级
-- [x] [Done: council/BackendArchitect] **Task 8**: 将修复方案写入 `reviews/BackendArchitect-on-Issue-13-debug.md`
+- [ ] [Claimed: council/FrontendDev] **Task 1**: 读取 `ticket_detail.html`，分析前端构建规格项的过程
+- [ ] [Claimed: council/FrontendDev] **Task 2**: 当模板不存在时，前端如何处理 `template_snapshot` 和 `spec_base_id_map`？
+- [ ] [Claimed: council/FrontendDev] **Task 3**: `loadSoldSeats()` 函数实际实现了吗？soldSeats 数据如何填充？
+- [ ] [Claimed: council/FrontendDev] **Task 4**: 编辑模式下（已有 vr_goods_config），前端是否正确处理已删除场馆的旧规格？
+- [ ] [Claimed: council/FrontendDev] **Task 5**: 给出前端根因分析（含具体文件路径和行号）
+- [ ] [Claimed: council/FrontendDev] **Task 6**: 给出修复方案
+- [ ] [Claimed: council/FrontendDev] **Task 7**: 将调研报告写入 `reviews/council-ghost-spec-FrontendDev.md`
 
-- [x] [Done: council/DebugAgent] **Task 9**: Round 1 静态分析 → `reviews/DebugAgent-PRELIMINARY.md`
-- [x] [Done: council/DebugAgent] **Task 10**: Round 2 — 验证 database.php 前缀配置 + 读取 Admin.php 第 66 行
-- [x] [Done: council/DebugAgent] **Task 11**: Round 2 — 编写 DebugAgent 最终根因报告 → `reviews/DebugAgent-ROOT_CAUSE.md`
-- [x] [Done: council/BackendArchitect] **Task 12**: Round 2 — 评审 DebugAgent ROOT_CAUSE 报告 → `reviews/BackendArchitect-on-DebugAgent-ROOT_CAUSE.md`
+---
 
-- [x] [Done: council/SecurityEngineer] **Task 13**: Round 2 — 独立安全审计（6项子任务）→ `reviews/SecurityEngineer-AUDIT.md`
-  - Q1: "Undefined array key 'id'" 最可能出现的行 → Primary: Line 77
-  - Q2: Db::name() 表前缀行为 → 等价，排除
-  - Q3: find() 返回 null 处理 → Secondary: Line 71
-  - Q4: $configs JSON 解码类型安全 → 部分安全
-  - Q5: selected_rooms 数据结构 → 类型正确但无空安全
-  - Q6: BatchGenerate + item_type → 安全
+## SecurityEngineer 任务清单
+
+- [ ] [Claimed: council/SecurityEngineer] **Task S1**: 读取 AdminGoodsSaveHandle.php — 安全审计：保存时是否拒绝脏数据
+- [ ] [Claimed: council/SecurityEngineer] **Task S2**: 读取 SeatSkuService.php — 幽灵 spec 注入路径分析
+- [ ] [Claimed: council/SecurityEngineer] **Task S3**: 读取 AdminGoodsSave.php — ShopXO 入口安全检查
+- [ ] [Claimed: council/SecurityEngineer] **Task S4**: 输出安全审计报告 → `reviews/SecurityEngineer-GHOST_SPEC_SECURITY.md`
+- [ ] [Claimed: council/SecurityEngineer] **Task S5**: 更新 `reviews/council-ghost-spec-summary.md`
+
+### 审计问题清单
+
+1. **S1-Q1**: 当 `template_id` 指向不存在的场馆时，`AdminGoodsSaveHandle` 是否拒绝保存（返回 code -401）？
+2. **S1-Q2**: 幽灵 spec（来自已删除场馆的 `spec_base_id_map`）是否可在保存时被注入到 `vr_goods_config`？
+3. **S1-Q3**: `vr_goods_config` 中若有多个规格项的 `spec_base_id` 相同，是否会触发去重逻辑或安全阻断？
+4. **S2-Q1**: `SeatSkuService::GetGoodsViewData` 在模板不存在时如何 fallback？fallback 数据是否可信？
+5. **S2-Q2**: `template_snapshot` 字段是否可以携带恶意 payload？
+6. **S3-Q1**: ShopXO `AdminGoodsSave.php` 入口是否有参数校验？
+7. **评估**: 根因属于 P1（拒绝脏数据/安全漏洞）还是 P2（功能降级）？
+
+### 优先级定义
+
+| 级别 | 含义 |
+|------|------|
+| **P1** | 安全漏洞：脏数据注入、XSS、权限绕过、数据覆盖 |
+| **P2** | 功能缺陷：用户体验问题、错误提示不友好 |
+| **P3** | 改进建议：代码健壮性优化 |
+
+---
+
+## BackendArchitect 任务清单
+
+- [ ] **Task B1**: 读取 AdminGoodsSaveHandle.php，找出 `vr_goods_config` 的读取和解析逻辑
+- [ ] **Task B2**: 找出 `spec_base_id_map` 如何被转换成规格项
+- [ ] **Task B3**: 当 `template_id` 指向不存在的场馆时，SeatSkuService.php 的 GetGoodsViewData 如何 fallback？
+- [ ] **Task B4**: 幽灵 spec 是在哪个环节产生的？是否在保存时过滤？
+- [ ] **Task B5**: 商品保存时规格去重逻辑在哪里？`vr_goods_config` 中若有多个规格项的 `spec_base_id` 相同会怎样？
+- [ ] **Task B6**: 给出根因分析（含具体行号）和修复方案
+- [ ] **Task B7**: 将调研报告写入 `reviews/council-ghost-spec-BackendArchitect.md`
 
 ---
 
@@ -46,53 +71,27 @@ Undefined array key "id"
 
 | 阶段 | 内容 |
 |------|------|
-| **Draft** | ✅ Task 1-6（BackendArchitect）+ Task 9（DebugAgent）+ Task 13（SecurityEngineer）|
-| **Review** | ✅ Task 7（BackendArchitect）+ Task 11（DebugAgent）+ Task 12（BackendArchitect）|
-| **Finalize** | ✅ Task 8 + Task 12 + Task 13：所有评审报告输出完毕 |
+| **Draft** | Task 1-7（FrontendDev）+ Task S1-S3 + Task B1-B6（并行）|
+| **Review** | Task 7 + Task S4 + Task B7（输出各自报告）|
+| **Finalize** | Task S5：汇总到 `reviews/council-ghost-spec-summary.md` |
 
 ---
 
-## 根因结论（已验证）
-
-1. **Primary（99%）**: `AdminGoodsSaveHandle.php:77` — `$r['id']` 无空安全，rooms 中缺少 id key 时崩溃
-2. **Secondary（5%）**: `AdminGoodsSaveHandle.php:71` — `find()` 返回 null 后直接访问 `$template['seat_map']`
-3. **Tertiary（静默）**: `AdminGoodsSaveHandle.php:77` — `selected_rooms` 类型不匹配，`in_array` 永远 false
-4. **已排除**: 表前缀问题 — `Db::name()` 和 `BaseService::table()` 均查询 `vrt_vr_seat_templates`，等价
-5. **已排除**: SeatSkuService::BatchGenerate — 第 100 行已有 `!empty()` 空安全 fallback
-6. **SecurityEngineer 补充**: PHP 8+ 中 `null['key']` 抛出 `TypeError`（非 Warning）；`$configs` JSON 解码有 `is_array` 防御；`item_type` 有 `?? ''` 兜底；修复建议已在 `reviews/SecurityEngineer-AUDIT.md`
-
-## DebugAgent 补充结论（Round 1）
-
-6. **PHP 8+ `??` 行为**：`$template['seat_map'] ?? '{}'` 对空数组 `[]` 的键访问**无效**，需用 `isset()`
-7. **vr_goods_config JSON 解码**：有 `is_array()` 防御，访问 `$config['template_id']` 安全
-
----
-
-## 执行顺序（DebugAgent Round 2）
-
-```
-Task 10: 读 shopxo/config/database.php → 确认 prefix 值；读 Admin.php 第 66 行
-Task 11: 综合输出 reports/DebugAgent-ROOT_CAUSE.md
-```
-
----
-
-## 关键文件（只读）
+## 关键文件（必须全部检查）
 
 | 文件 | 关注点 |
 |------|--------|
-| `shopxo/app/plugins/vr_ticket/hook/AdminGoodsSaveHandle.php` | save_thing_end 逻辑，template_snapshot 填充代码 |
-| `shopxo/app/plugins/vr_ticket/service/SeatSkuService.php` | BatchGenerate、ensureAndFillVrSpecTypes |
-| `shopxo/app/plugins/vr_ticket/service/BaseService.php` | table() 前缀方法 |
-| `shopxo/config/database.php` | ShopXO 数据库表前缀配置（Task 10 需读） |
-| `docs/VR_GOODS_CONFIG_SPEC.md` | vr_goods_config v3.0 JSON 格式 |
-| `docs/PHASE2_PLAN.md` | 项目背景 |
+| `shopxo/app/plugins/vr_ticket/view/goods/ticket_detail.html` | 前端规格项构建、template_snapshot fallback |
+| `shopxo/app/plugins/vr_ticket/service/SeatSkuService.php` | GetGoodsViewData，模板不存在时的 fallback |
+| `shopxo/app/plugins/vr_ticket/hook/AdminGoodsSaveHandle.php` | 商品保存钩子，vr_goods_config 处理 |
+| `shopxo/app/plugins/vr_ticket/admin/Admin.php` | VenueDelete 硬删除逻辑 |
+| `shopxo/app/admin/hook/AdminGoodsSave.php` | ShopXO 商品保存钩子入口 |
 
 ---
 
-## 修复记录
+## 依赖
 
-- [x] **Fix Commit**: `804d465d0` — P1+P2 空安全修复已合并到 main
-  - `AdminGoodsSaveHandle.php:71-73`：新增 `if (empty($template)) { continue; }`
-  - `AdminGoodsSaveHandle.php:80`：`$r['id']` 前加 `isset()` 空安全
-  - 合并到 main：`49930844f`
+- BackendArchitect：后端规格去重逻辑分析
+- SecurityEngineer：安全风险评估
+- FrontendDev：前端 fallback 行为分析
+- 最终汇总由 SecurityEngineer 写入 `reviews/council-ghost-spec-summary.md`